Nieuwe decrypter SurfRight ruimt ook Dorifel op

Securityleverancier SurfRight uit Hengelo biedt systeembeheerders bij overheden en bedrijven vanaf vandaag een update van de gratis Dorifel-decrypter, de programmatuur waarmee door het virus Dorifel aangevallen Word- en Excel-bestanden worden ontsleuteld. De nieuwe decrypter spoort ook het virus op en maakt er korte metten mee.

Overheidsorganisaties en bedrijfsnetwerken zijn onlangs getroffen door zogeheten crypto-malware genaamd Trojan-Ransom.Win32.Dorifel. Deze trojan is de netwerken binnengedrongen via een variant van de Zeus/Zbot trojan met de naam Citadel. Dit betekent dat deze trojan al aanwezig was op één van de computers op het netwerk.

Momenteel zullen de meeste gebruikers weinig merken omdat de getroffen documenten gewoon openen, zegt directeur Mark Loman van SurfRight. ‘In de huidige situatie zal de malware waarschijnlijk proberen zich te verspreiden naar zoveel machines als mogelijk.’

Deze Dorifel-trojan scant network shares en lokale schijven op .doc en .docx (Word) en .xls en .xlsx (Excel) documenten. Gevonden documenten worden vervangen door een uitvoerbaar programma dat een met RC4 versleutelde versie van het document bevat. De Trojan voegt ook een bekend icoon toe aan het bestand en verandert de bestandsnaam van het document, gebruikmakend van de zogeheten RTLO-kwetsbaarheid (right-to-left-override) om computergebruikers te laten geloven dat het document de juiste bestandsextensie heeft. Daarnaast infecteert het virus ook uitvoerbare bestanden (.exe).

2500 downloads

De Dorifel-decrypter werd na de uitbraak al 2500 keer gedownload. ‘Het gaat vooral om professionele systeembeheerders’, vermoedt Loman. ‘De infectie zit in een network share. Hoeveel consumenten hebben zoiets thuis?’

Ook securityleverancier McAfee biedt gebruikers een update waarmee systeembeheerders de versleutelde bestanden kunnen terugzetten, zegt Loman. ‘Maar die moet handmatig worden geïnstalleerd. En is alleen beschikbaar voor gebruikers die al een McAfee-omgeving hebben.’